Die unterschätze Gefahr: Cyberattacken auf KMUs
Über 99 Prozent aller Unternehmen in Deutschland gehören zum Mittelstand. Dabei stellen KMUs häufig ein attraktiveres Ziel für Cyberattacken dar, als ihnen bewusst ist. Um langfristig erfolgreich zu sein, müssen sich auch kleinere und mittlere Unternehmen gegen Cyberangriffe absichern. Wie das auch ohne hohes IT-Budget oder -Ressourcen gelingt, erfahren Sie in diesem Beitrag.
Wenn es bereits zu spät ist, fragt man sich: Wie konnte das nur passieren? Die größten Bedrohungsszenarien für ein Unternehmen entstehen in der heutigen Zeit nicht innerhalb der Fertigungsindustrie oder im Großraumlager, sondern in der IT im Unternehmensnetzwerk. Hier legen immer öfter Verschlüsselungstrojaner, Computerviren und gezielte Angriffe aus aller Welt den gesamten Betrieb lahm. Laut einer aktuellen Studie von Bitkom wurden letztes Jahr neun von zehn befragten Unternehmen Ziel einer Cyberattacke. Auch der Schaden auf die deutsche Wirtschaft hat sich innerhalb der letzten zwei Jahre auf 234 Milliarden Euro verdoppelt. Auf die Frage, warum KMUs zunehmend zur Zielscheibe werden, können geringere IT-Schutzmaßnahmen, geringe personelle Ressourcen und fehlendes IT-Knowhow sowie attraktive Schnittstellen zu Konzernen als Einfallstor in andere Systeme angeführt werden. KMUs müssen ihre IT proaktiv gegen Angriffe schützen, um ihre sensiblen Daten und ihre Reputation zu schützen. Was würde es für Ihr Unternehmen bedeuten, wenn morgen Nachmittag um 15 Uhr die komplette IT ausfällt? Sämtliche Back-ups nicht mehr verfügbar wären? Was wäre, wenn wertvolle Daten oder Patente im Darknet auftauchen? Aktuelle Studienergebnisse zeigen, dass viele Mittelständler nicht einmal einen Notfallplan als Reaktion gegen eine mögliche Cyberattacke vorbereitet haben.
Der Mitarbeiter: durch Schulungen die Awareness steigern
Wenn die Sicherheitsrisiko-Bewertung dazu führt, dass die IT nicht dem Stand der Zeit entspricht, dann sollten Sie in Ihrem Betrieb unbedingt an der Stärkung des schwächsten Gliedes arbeiten, bevor Sie externe IT-Experten an die Firmen-IT lassen. Und das ist in vielen Fällen immer noch der eigene Mitarbeiter.
Weiterbildungen zu den grundsätzlichen Gefahren im Internet und bei der Bearbeitung von E-Mails sollten unbedingt angeboten werden. Ebenso sollten alle Mitarbeiter ein Bewusstsein dafür entwickeln, wie wichtig starke Passwörter in Unternehmen sind. Wenn zur Unterstützung der Mitarbeiter eine IT-Security Software im Unternehmen eingeführt wird, sollten die Nutzer eine ausgiebige Einführung in das System erhalten und die Wichtigkeit dahinter verstehen. Ebenso wichtig nach der Einführung ist ein Ansprechpartner, an den sich die Mitarbeiter bei Fragen, Unsicherheiten und Problemen bei der Nutzung wenden können. Wenn Mitarbeiter Angst haben, sich bei IT-Sicherheits-Problemen an eine Ansprechperson zu wenden, kann im schlimmsten Fall das Problem “vertuscht“ werden. Oftmals hat dann der Virus / der Trojaner Zeit, sich im Unternehmen zu verbreiten, was oftmals größere Auswirkungen hat als die Beseitigung des Fehlers direkt nach dem Auftreten.
Hosting von sensiblen Daten
Der Anteil der Unternehmen, die ihre Daten in die Cloud verlagert, wächst kontinuierlich an. Ob Cloud-Computing die sicherste Option für alle Unternehmen ist, die Daten zu speichern, kann so nicht generell gesagt werden. Gleichzeitig kommt es auf die Art der Daten an. Für große Unternehmen ist es oft von Vorteil, sensible Daten inhouse auf eigenen Servern zu hosten und so die volle Datenhoheit und Kontrolle zu behalten. Für kleinere Unternehmen eignet sich auch die Verlagerung von Daten in die Cloud. Sensible Daten wie Kundeninformationen oder Passwörter können dann in der private Cloud gehostet werden, andere Daten in der Public Cloud. Ob dann die Nutzung von Cloud-Diensten sicher ist, liegt oft am Passwortmanagement der Nutzer. Generell gilt: Pro Anwendung sollte es ein geheimes und sicheres Passwort pro Mitarbeiter geben. Dieses sollte zudem Ende-zu-Ende-verschlüsselt sein. Bei zusätzlichen Sicherheitsbedenken kann auch eine Zwei-Faktor-Authentifizierung eingeführt werden, bei dem der Nutzer durch eine zweite Komponente seine Identität nachweist.
Wie sollen sich Mitarbeiter denn all diese Passwörter merken?
Die Lösung: Passwort Manager wie Password Secure speichern alle Passwörter sicher in der Software und melden den User beim Login automatisch an. Sichere Passwörter können leicht mit dem integrierten Passwort-Generator erstellt werden und Passwörter können sogar in verschlüsselter Form mit Kollegen geteilt werden. So bleibt ein Passwort trotz geteilter Nutzung sicher und geheim. Die IT kann individuelle Passwort-Richtlinien erarbeiten, die in Password Secure hinterlegt werden können. Nutzer haben automatisch je nach Rolle im Unternehmen Zugriff auf die für ihre Rolle wichtige Accounts und Passwörter. So haben schwache Passwörter wie „Passwort123“ keine Chance in Ihrem Unternehmen und gleichzeitig wird die IT-Abteilung von administrativen Aufgaben entlastet.
Größere Unternehmen hosten die Software Password Secureauf eigenen Servern und sind für die Verwaltung der Daten zuständig. Für kleinere Unternehmen ohne entsprechende Ressourcen eignet sich ein MSP (Managed Services Provider). Dieser externe Dienstleister übernimmt die Bereitstellung, die Wartung und den Betrieb der Software. Gerade für KMUs mit begrenztem Budget und kleinen IT-Abteilungen lässt sich durch das Outsourcing dieser Aufgaben eine sichere IT-Infrastruktur erzeugen und Unternehmen können sich ihrer Kernaufgabe widmen. Durch variable Zusatzmodule kann die Sicherheit bei Password Secure als Managed Service individuell auf die Bedürfnisse des Unternehmens angepasst werden. Zudem kann die Anzahl an verwendeten Lizenzen bei Schwankungen der Belegschaft monatlich geändert werden.
Zusammenfassung unserer heutigen IT-Sicherheits-Tipps
Wie schon eingangs erwähnt: Die Mitarbeiter sind oftmals das größte IT-Sicherheitsrisiko. Jedoch machen die wenigsten Mitarbeiter absichtlich Fehler. Es gilt, ein übergreifendes Sicherheitskonzept zu erarbeiten, in dem der Mitarbeiter dazu befähigt wird, seine Passwörter sicher zu verwalten. Für kleinere Unternehmen muss IT-Security dabei nicht ins Hintertreffen geraten. Angebote wie Managed Services bieten hier Zugang zu höchsten Standards, sind dabei flexibel skalierbar und für kleine und mittlere Unternehmen die ideale Lösung. Außerdem gilt es, Mitarbeiter langfristig für diese Themen zu sensibilisieren und in prozessuale Veränderungen einzubinden, um die Akzeptanz zu steigern.